Krack: WPA2-Lücke betrifft keine AVM FRITZ!Box, wohl aber Repeater
von caschy | 26 Kommentare
Die Geschichte rund um die WLAN-Sicherheitslücke „Krack“ haben sicherlich alle mitbekommen. Die Schwachstellen liegen im WPA2-Protokoll und Angreifer könnten theoretisch geschützte Inhalte mitlesen. Mittlerweile hat sich auch AVM noch einmal mit Informationen zu Wort gemeldet. Denn die dürften als einer der bekannteren Hersteller mit vielen Geräten in deutschen Haushalten sicherlich bei einigen Geräten nachpatchen müssen (wie andere Hersteller natürlich auch).
Laut AVM sind FRITZ!Boxen nicht von der WPA2-Sicherheitslücke betroffen, da man hier nicht auf die Norm 802.11r setzt. Laut eigenen Aussagen hat AVM erst am 16. Oktober Kenntnis erlangt. Man wird für WLAN-Repeater Updates folgen lassen, hierfür sind aber erst einmal Tests und Untersuchungen vonnöten.
[color-box color=„blue“ rounded=“1″]Das ist Krack / AVM-Beschreibung: Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden.
[/color-box]
Wird geladen ...
Und was ist mit den vielen älteren Fritzboxen, die noch als Repeater im Haus eingesetzt werden? Gelten hier ebenfalls die Standardprotokolle, die nicht betroffen sein sollen, oder kommen auch hier spezielle Roaming-Protokolle wie das 802.11r zum Einsatz???
Mr.Magoo: man muss nicht dichter sein, sondern am Client besser empfangbar sein. Dies lässt sich auch über gerichtete Antennen und/oder über eine höhere Sendeleistung bewerkstelligen. Auch aus großer Distanz.
Einfach VPN nutzen, wie man es auch tun sollte, wenn man in einem öffentlichen WLAN unterwegs ist und die Gefahr ist gebannt. Der Haken dabei ist allerdings, das es gute und schnelle VPN Dienste nicht umsonst gibt.
@ZLemma:
So, dann zeig mir doch mal, wie z.B. der heimische Drucker, die Repeater, die Spiele-Console, der TV, der Kühlschrank, die Waschmaschine etc. eine VPN-Verbindungen aufbaut.
Was bedeutet denn der Satz: „Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet.“
Von wo nach wo meldet sich der Klient um? Ist das einloggen ins Wlan gemeint?
Unser Chef hat das Wlan aufgrund dieses Vorfalls ausgeschaltet und das nervt natürlich alle Kollegen. Ich brauch Argumente und Strategien um ihm seine Angst zu nehmen.
Wir haben momentan einen alten Netgear-Router.
Würde es was bringen, wenn man da ne fritzbox noch mit ranhängt die dann nur wlan verbreitet?
Weitherhin heißt es ja auch, dass Klient-Geräte auch zu der Lücke beitragen. Also müsste jedes Smartphone, jeder Chromecast etc. pp. einen offiziellen Patch erhalten?
Ja, ich bin Laie auf dem Gebiet Netzwerktechnik. Bitte nicht schimpfen.
Danke für Tipps und Erklärungen
@Martin F.:
Die Vorsichtsmaßnahme Deines Chefs ist nur konsequent, ohne jetzt zu wissen, was ihr für wichtige Daten hin- und herschaufelt.
Um mal bei den wesentlichen Fakten zu bleiben:
Es betrifft zu 99,9% alle Clients (PC, Smartphone, Drucker, TV, Spielekonsole, …) und in der Regel nicht den AccessPoints, also den Router. Siehe auch:
http://stadt-bremerhaven.de/krack-wpa2-luecke-betrifft-keine-avm-fritzbox-wohl-aber-repeater/#comment-811779
Es betrifft nur dann den Router/AccessPoint, wenn er als Repeater in einem WDS-Verbund arbeitet oder aber wenn er das Protokoll 802.11r+s unterstützt (was 99% der Router schon mal nicht manchen in Deutschland).
Der Angriff funktioniert auch nur dann, und das ist vermutlich das, was mit deinem zitierten Satz gemeint ist, wenn der Client sich versucht an einem AccessPoint anzumelden. Und auch dann muss der Angreifer guter Nähe zu dem AccessPoint stehen oder mit Richtantennen arbeiten, um hier eingreifen zu können. Wie hoch die Wahrscheinlichkeit für solch einen Angriff ist, musst Du für Dich selber bewerten. Ich meinem Umfeld halte ich es für schwer realisierbar, zumal der Angreifer auch das notwendige Equipment und Know-how haben muss. Klar brechen immer mal WLAN-Verbindungen ab und bei der Neuanmeldung wäre dann die Möglichkeit zum Angriff. Also, aus dem Internet heraus kann er Euch nicht angreifen, er muss sich in der Nähe des AccessPoints/Routers befinden.
Damit hat er ggf. erst einmal deine Verbindung „umgeleitet“, wenn Du jetzt aber https als Protokoll eingesetzt hast (z.B. beim Surfen, Datenbankabfragen, etc) kann der Angreifer nichts auslesen, denn das ist separat verschlüsselt.
Also, Aufgabe Eures Chefs und Euch muss sein, *ALLE* Clients upzudaten! Und das ist momentan nicht leicht, denn für viele Geräte im WLAN gibt es noch keine Updates und im schlimmsten Fall wird es sie auch nicht geben!
Ach, und um das nochmal klar zu sagen: Der Angreifer ist *NICHT* in der Lage Euer WPA2-Passwort auszulesen. Ihr müßt das nicht ändern.
Das mal nur ganz vereinfacht dargestellt….